Ich habe erfolgreich Whonix-Gateway und Workstation auf einem Computer eingerichtet und verwendet. Aber ich möchte sie auf verschiedenen Hosts einrichten, um die Speicher- und CPU-Anforderungen zu verteilen.
Ich habe nicht herausgefunden, wie die VMs miteinander kommunizieren können, wenn sie sich auf verschiedenen Hosts befinden. Das Gateway scheint in Ordnung zu sein, wie es bei der Ausführung mit der Workstation auf demselben Computer der Fall war. Jetzt wird die Workstation auf einem anderen Host gestartet. Wie kann ich der Workstation (oder dem Host, auf dem sie ausgeführt wird) bewusst machen, dass sie ein Gateway auf einem anderen Host kontaktieren muss?
Auf beiden Hosts wird Linux Mint 17 ausgeführt
Antworten:
Zuerst einige Notizen; Ich habe das StackExchange-Charictar-Limit XP erreicht, daher ist dies eine verkürzte Antwort. mit Bedacht einsetzen ;-)
Ligusterbrücke Tor ~ = ~ Gateway Whonix
transproxierter Client Tor ~ = ~ Workstation Whonix
Diese Begriffe werden austauschbar verwendet, und es gibt andere Begriffe, die diese Art von Setups genannt werden. Ich werde versuchen, die Whonix-Begriffe für die meisten der folgenden Begriffe so weit wie möglich zu verwenden.
Was Sie suchen wahrscheinlich als refered wird im mittleren Feld oder Liguster Brücke für die Gateway - Gerät und Client (
trans-proxy
) Einrichtung der Raspberry Pi Team bei Adafruit hosten eine recht gut togeather führen zu setzen , wie die physische Isolation mit benutzerdefinierten einzurichtentorrc
configs undiptables
magics . Die Anforderungen für Ihr Gateway bestehen darin, dass es über zwei Netzwerkschnittstellen verfügt. Dies kann seineth0
undeth1
oderusb0
oderppp0
und Ihre Workstation (Client) sollte nur eine physische Netzwerkschnittstelle haben. vorzugsweiseeth0
oderusb0
versuchen zu vermeidenwlan0
So verlockend es auch ist, Sie lassen sich offen für Angriffe und Motitoring, die nicht einfach zu mildern und leicht anzugreifen sind. Diese Anleitungen werden auch unter dem Namen "Tor WiFi Hot-Spot" geführt. Erweitern Sie Ihre Suchanfragen also möglicherweise auf Linux im Allgemeinen und Tor spicifficly. Obwohl ich die Verwendung von WiFi nicht empfehlen würde, können die Anleitungen, die das Thema behandeln, einfach über den Handelwlan0
füreth1
auf Ihrem Gateway undwlan0
füreth0
auf Ihrer Workstation geändert werden .Ich habe ein Skriptpaket für diesen Anlass geschrieben, Ihren Glückstag , weil ich gerade den ersten Entwurf eines Skriptpakets veröffentlicht habe, mit dem Sie auch die Sicherheit Ihrer Konfigurationen überprüfen können. Sehen Sie sich den Quellcode auf GitHub an und sehen Sie in der
/functions/tor/torrc_writers/torrc_bridge_configs.sh
Datei nach, welche Verias-Konfigurationen verfügbar sind. Wenn es unten ein Skript / eine Funktion ohne klare Dokumentation gibt, öffnen Sie ein Problem und ich werde versuchen, dass der nächste Push weitere Informationen enthält. Ich werde in den nächsten Tagen Funktionen hinzufügen und Fehler beheben, aber hier ist ein einfaches Beispiel für eine variable Datei, das Sie laden können, wenn Sie es testen möchten.Rufen Sie dann das Skript mit der obigen Variablendatei wie folgt auf
und wenn es funktioniert (die meisten Magics sind in der
/functions/shared/arg_checker.sh
Funktion vorgeformt , wenn Sie sich fragen), sollte es das Gateway so konfigurieren, wie Sie es wünschen, und mit seinen eigenen separaten Start / Stopp-Skripten sollte es genauso einfach sein, nur den Brückendienst auf dem Gateway-Gerät zu starten wie;Für die Workstation sollte es möglich sein, die Gateway-Brücke auf dem Gateway-Gerät zu verwenden. Die Firewall muss noch mit einem Skript versehen werden, aber ich habe einen Ausgangspunkt für das Filtern und Weiterleiten von iptables in dem
/firewall
Verzeichnis bereitgestellt , das Sie möglicherweise auch durchsuchen möchten.~~~
Modifide-Code zur Beantwortung der gestellten Frage
~~~
Hier ist eine Modifide-Version (einfach die relevanten Bits aus dem oben verlinkten Code herausgezogen und modifiziert, um zu zeigen, wie einfach dieser Code erneut verwendet werden kann), die in jedem Debian-basierten Chroot-Gefängnis oder Virtulisierungs-Gefängnis verwendet werden kann. Es wird
sudo
intern ausgeführt, sodass Sie zur Eingabe eines Kennworts aufgefordert werden. Das ist normal, und diese Version erwartet, dass Tor bereits installiert wurde.Verwenden Sie
bash
diese Option , um diese Version auszuführenbash bridge_tor_script.sh
, damit Variablen und Funktionen ordnungsgemäß funktionieren. Der folgende Code ist nur für das Gateway-Gerät vorgesehen. Sie müssen weiterhin ein Bridge-Netzwerk einrichten und an das Workstation-Gerät weiterleiten und die Workstation so sperren, dass nur die vom Gateway bereitgestellte IP-Adresse verwendet wird.~~~
Beispiel für das Ende des Skripts
~~~
Das oben Genannte sollte Sie näher an Ihre Ziele bringen, wie bereits erwähnt. Ich werde das Hauptskriptpaket entfernen und Funktionen hinzufügen. Sie können also bis Ende des Monats Anfragen über das Tracking-System von GitHub stellen (Gesundheit und Zeit). Ich werde Installationsprogramme für Whonix hinzufügen, aber ich werde Ihnen beim Testen helfen, da alle meine Systeme mit meinen Installations-
KVM
und Voranforderungen zu kämpfen scheinenVMWare
.quelle
cat <<EOF ## some commands ## EOF > /some/file.sufix
zur erneuten Erkennung verwendet habe, und einige fehlerhafte Skripte in einem älteren Github-Repo, die behoben werden müssen, weil ich nicht genug überbash
vs./
exsicution und variable Erweiterung wusste . Seitdem habe ich verwendetecho 'litaral' | tee -a /some/file.sufix
undecho "${variable}" | tee -a /some/file.sufix
weil es viel einfacher ist, Fehler zu beheben und zu sehen, was nicht mit "\" zu entkommen ist und was nicht. Oben ist ein Opfer in der Lesbarkeit in der Bevorzugung der Ausführlichkeit. Ihr Vorschlag ist jedoch eine gültige Methode, um dieselben Aufgaben auszuführen.